物联网入门 --------- 首次 cve 复制（CVE-2020-24581 D-Link DSL-2888A 远程命令执行漏洞分析）

最编程 2024-07-14 16:55:46

...

漏洞描述：

D-Link DSL-2888A AU_2.31_V1.1.47ae55之前版本存在安全漏洞，该漏洞源于包含一个execute cmd.cgi特性(不能通过web用户界面访问)，该特性允许经过身份验证的用户执行操作系统命令。
在该版本固件中同时存在着一个不安全认证漏洞（CVE-2020-24580），在登录界面输入任意密码就可以成功访问路由器界面。
通过组合这两个漏洞可以实现未授权的任意代码执行

漏洞编号： CVE-2020-24581、CVE-2020-24579

fofa指纹： body=”DSL-2888A” && server==”uhttpd”

影响版本： AU_2.31_V1.1.47ae55之前版本

固件下载：https://www.dlink.com.sg/dsl-2888a/

漏洞分析：

首先我们需要binwalk将固件解开

binwalk -Me DSL-2888A_AU_2.12_V1.1.47Z1-Image-all.bin

这里我要吐槽一下，因为我的虚拟机环境是ubuntu 21.10 这binwalk我总是提取不出来root目录，在耗费了一天的时间之后，才发现devttys0的binwalk在py3好像是有问题的，所以我们需要下载liyansong2018的binwalk

下载过程

cd ../../
git clone https://github.com/liyansong2018/binwalk.git
cd binwalk
sudo ./deps.sh
sudo python3 setup.py install
sudo pip3 install python3-magic

提取之后

因为这个漏洞是需要web服务的，所以我们需要了解一下固件中组件的位置，我们可以去查看开机启动脚本/ect/rc.d/rcS文件查看

所以我们通过在源代码中查找这个文件进行代码审计

通过shift+f12根据./cgi-bin发现了该字符串在函数sub_BEA0有所调用

于是乎进行代码审计

首先是获取要访问的文件路径，然后将cgi-bin拼接到文件路径之后

这里就是给参数拼接环境变量，然后后面的post看出可能是需要设备登录权限

这里主要是用来执行文件的函数

经过这里的判断可以看出，如果设备登录，就可以任意执行文件

然后再去查看httpd是如何调用到cgi-bin的，继续搜索字符串在别的函数的调用

我们可以看到在函数sub_9C4C加载了/cgi-bin路径并且运行了sub_BEA0这个函数

而这个函数在sub_9F24中被调用，是为了加载/cgi-bin /goform等各种组件

然后我们去查看execute_cmd.cgi这个文件在cgi-bin文件里面

#!/bin/sh
. /usr/syscfg/api_log.sh
cmd=`echo ${QUERY_STRING} | cut -d = -f 3` #取出cmd=后面的内容
cmd=`echo ${cmd} |tr "%20" " "` #将%02转化成空格

result=`${cmd}`   #运行命令
TGP_Log ${TGP_LOG_WARNING} "cmd=${cmd}, result=${result}"

echo  "Content-type: text/html"
echo  ""
echo -n ${result}